Списки контроля доступа

При создании любого объекта, включая файлы, потоки, события и даже маркеры доступа, ему присваивается дескриптор защиты⁸. Основной частью дескриптора защиты является список прав доступа к объекту, называемый списком контроля доступа (ACL). Владелец объекта, которым обычно является его создатель, обладает правом селективного контроля доступа к объекту и может изменять ACL объекта, чтобы разрешить или запретить другим его использование. На рис. 3-11 упрощенно изображен файловый объект и его ACL.

Каждый вход ACL называется элементам контроля доступа (access control entry, АСЕ). АСЕ содержит идентификатор защиты и набор прав доступа. Пользователю с соответствующим идентификатором защиты перечисленные права доступа могут быть разрешены, запрещены или разрешены с аудитом. Сумма прав доступа, предоставленных отдельными АСЕ, формирует набор прав доступа, предоставляемых ACL.

Предположим, что Вы хотите, например, просмотреть файл. Если ACL файлового объекта содержит АСЕ с Вашим идентификатором защиты или с идентификатором защиты одной из Ваших групп, и этот АСЕ содержит право доступа "чтение данных", то просмотр файла Вам разрешен. В дополнение к этому, если операция, которую Вы пытаетесь выполнить, является привилегированной, такой как создание маркера доступа, то Вы должны иметь привилегию создавать маркер доступа. В противном случае доступ будет отменен.

Как показано на рис. 3-11, АСЕ может также содержать идентификатор защиты группы. DAVEC имеет доступ к файловому объекту по чтению, члены группы ТЕАМ1 — по чтению и записи, а все другие пользователи — права на исполнение.

Рис. 3-11. Список контроля доступа (ACL).

Чтобы определить, какой ACL должен быть назначен новому объекту, система защиты применяет три взаимоисключающих правила, в приведенном ниже порядке:

• Если ACL явно задан при создании объекта, то система защиты присваивает объекту данный ACL.
• Если ACL не задан и у объекта есть имя, то система защиты ищет ACL каталога объектов, в котором будет сохранено имя нового объекта. Некоторые АСЕ каталога объектов могут быть обозначены как "наследуемые" — это означает, что они должны быть присвоены новым объектам, созданным в данном каталоге. Если такие наследуемые АСЕ присутствуют, то система защиты составляет из них ACL, который она назначает новому объекту.
• Если ни один из первых двух случаев не имеет места, то система защиты присваивает новому объекту ACL по умолчанию из маркера доступа вызывающего процесса.

Кроме ACL, дескриптор защиты объектов содержит поле, управляющее аудитом объекта. Аудит (auditing) означает способность системы защиты "шпионить" за выбранными объектами и их пользователями и генерировать сообщения или оповещения, если кто-либо попытается выполнить над объектом операцию, использование которой ограничено. Например, система защиты может выполнять аудит попыток чтения или изменения системного файла. Если кто-то пытается модифицировать данный файл, то система защиты помещает сообщение в журнал аудита вместе с идентификатором защиты пользователя. Системный администратор может генерировать отчеты, составленные по информации из этого журнала. Для систем с очень высоким уровнем защиты система защиты может даже генерировать звуковые или визуальные сигналы тревоги на машине администратора, когда происходит некоторое действие. Аудит уменьшает риск незаконного проникновения в компьютер.

⁸ Из этого правила есть исключения. Дескрипторы защиты необходимы только тем объектам, которые будут использоваться более чем одним процессом. К этой группе относятся все поименованные объекты, а также как поименованные, так и безымянные процессы, потоки и маркеры.